Jdi na obsah Jdi na menu
 


SSH, HTTP, XINETD, SAMBA, Active directory, PROXY

12. 6. 2007

SSH

SSH neboli Secure Shell je klient/server protokol v síti TCP/IP, který umožňuje bezpečnou komunikaci mezi dvěma počítači pomocí transparentního šifrování přenášených dat. Pracuje na portu TCP/22. Pokrývá tři základní oblasti bezpečné komunikace: autentizaci obou účastníků komunikace, šifrování přenášených dat a integritu dat.

Protokol vyvinul v roce 1995 Tatu Ylönen. SSH je ve počítačové terminologii používán jako název přenosového (síťového) protokolu i jako název programu zprostředkovávající spojení. Data jsou přenášena mezi dvěma počítači přes nebezpečnou vnější síť vždy šifrovaně a volitelně s použitou kompresí.

Označení „Secure Shell“ je mírně zavádějící, protože nejde ve skutečnosti o shell ve smyslu interpret příkazů. Název byl odvozen z existujícího programu rsh, který má podobné funkce, ale není zabezpečený.

Obsah

[skrýt]

[editovat] Historie

Po útoku odchytáváním hesel na počítačovou síť helsinské Technické univerzity (Helsinki University of Technology, Finsko) navrhl Tatu Ylönen první verzi protokolu (SSH-1). V červnu 1995 jej pak uveřejnil včetně zdrojových kódů jako Free Software. Do konce roku 1995 se rozrostla základna uživatelů na 20 000 v padesáti zemích.

V prosinci 1995 Ylönen založil společnost SSH Communications Security a začal vyvíjet SSH a další bezpečnostní nástroje. Původní verze SSH používala části svobodného software (např GNU libgmp), takže pozdější verze od těchto závislostí oprostil a začal je vydávat pod uzavřenou licencí.

V roce 1996 vyvinul vylepšenou verzi protokolu SSH-2, která je nekompatibilní s SSH-1. Novinkami v druhé verzi byla např. zvýšená bezpečnost výměny klíčů (Diffie-Hellman key exchange) nebo přísná kontrola integrity dat. Novou vlastností SSH-2 je také možnost spustit libovolný počet shellů uvnitř jednoho SSH spojení.

[editovat] Použití

SSH je používáno jako bezpečná náhrada starších protokolů a nabízí i nové vlastnosti:

  • Náhrada protokolu Telnet, práce na vzdáleném počítači přes nezabezpečenou síť

  • Náhrada protokolu Rlogin, přihlášení na vzdálený počítač

  • Náhrada protokolu Rsh, spouštění příkazů na vzdáleném počítači

  • Tunelování spojení

  • Přesměrování TCP portů a X11 spojení zabezpečeným kanálem

  • Bezpečný přenos souborů pomocí SFTP nebo SCP

[editovat] Shrnutí

SSH program je dnes běžně používán při vzdálené práci a pro vzdálenou správu. Většinou se spojuje s SSH démonem (SSH daemon, sshd) pro navázání spojení. SSH démon rozhoduje podle svého nastavení, zda spojení přijme, jakou formu autentizace bude požadovat, případně na kterém portu naslouchá. Implementace SSH klientů i serverů (SSH démon) je dostupná na téměř jakékoli platformě. Většinou jsou dostupné jak komerční, tak i Open Source varianty.

O oblíbenosti svědčí i to, že koncem roku 2000 používalo SSH 2 000 000 uživatelů.

Webový server Apache - HTTP

Úvodem

Apache je zřejmě nejpoužívanější webový server. Vděčí za to své modulárnosti, široké a celkem srozumitelné konfigurovatelnosti a v neposlední řadě jistě i licenční politice. V současné době je k dispozici ve dvou hlavních verzích:

  • 1.3.x pro tuto verzi se budou dále vyvíjet jen bezpečnostní záplaty, nebude podpora nových modulů.

  • 2.0.x tato verze bude nadále plně vyvíjena, podpora nových modulů.

Moduly pro verzi 1.3 nejsou beze změn použitelné pro verzi 2.0 (nestačí rekompilace). Změny v konfiguračních direktivách však nejsou nijak zásadní a mnou popsaná konfigurace pro verzi 2.0 by měla být s drobnými úpravami použitelná i pro verzi 1.3.

Obsah

Instalace

Apache můžeme jako většinu programů instalovat bud ze zdrojových kódů nebo pomocí nějakého balíčkovacího systému typu RPM. Stručně popíšu první možnost, ta druhá je silně distribučně závislá.

  1. Stáhneme si zdrojové kódy (např. z www.apache.org) a rozbalíme je do pomocného adresáře.

  2. V něm spustíme konfigurační skript s příslušnými parametry. Příklad:

3.           ./configure --prefix=/nejakacesta/apache --enable-rewrite --enable-speling=shared

Poznámky:
--prefix určuje adresář, kam se bude Apache instalovat.
--enable-rewrite říká, že kromě implicitně kompilovaných modulů se bude navíc kompilovat mod_rewrite.
--enable-speling=shared říká, že mod_speling se bude kompilovat jako sdílený objekt (DSO). Takový modul je pak nutné aktivovat direktivou LoadModulehttpd.conf. Modul sice poběží trošku pomaleji, než kdyby byl staticky zakompilovaný, ale pro jeho aktivaci/deaktivaci stačí jen změnit konfiguraci a restartovat Apache -- není nutné Apache znovu překládat.

  1. Pak už Apache přeložíme a nainstalujeme příkazy make; make install.

Kromě vlastního webového serveru budeme mít k dispozici také několik pomůcek pro jeho správu, jako například startovací skript apachectl nebo generátor souborů s hesly htpasswd.

Xinetd - vysoce konfigurovatelný super-server

Unixové systémy disponují řadou síťových služeb. Zatímco vytížené služby obvykle obsluhují nepřetržitě běžící démoni daných služeb, služby méně často používané mohou být realizovány prostřednictvím "super-serveru". Ten funguje tak, že místo několika démonů jednotlivých služeb trvale běží a na příchozí požadavky čeká jediný proces super-serveru, který teprve podle potřeby vyvolá pro obsloužení konkrétního požadavku server příslušné služby a tím se šetří systémové prostředky. Dříve se jako super-server používal Inetd, který je dnes nahrazen mnohem bezpečnější a konfigurovatelnější variantou - Xinetd

 

Samba (software)

Z Wikipedie, otevřené encyklopedie

Skočit na: Navigace, Hledání

Samba je svobodná implementace síťového protokolu SMB (též NetBIOS), používaného především pro vzdálený přístup k souborům (sdílení) v systémech Microsoft Windows.

V současné verzi 3 neposkytuje Samba pouze služby pro sdílení souborů a tiskových služeb pro klienty systému Windows, ale lze ji například využít pro integraci do domény Windows, buď jako primární doménový řadič (Primary Domain Controller, PDC) nebo jako běžného člena v doméně. Může být také součástí domény Active Directory

Samba beží na většině UNIXových systémů, jako například na operačních systémech GNU/Linux, Solaris, BSD, Mac OS X (od verze 10.2 je součástí OS X pro pracovní stanice - workstation), atd.

Samba byla původně vyvinuta pro systém UNIX Andrewem Tridgellem

 

Active Directory

Z Wikipedie, otevřené encyklopedie

Skočit na: Navigace, Hledání

Active Directory je implementace adresářových služeb LDAP firmou Microsoft pro použití v prostředí systému Microsoft Windows. Active Directory umožňuje administrátorům nastavovat politiku, instalovat programy na mnoho počítačů nebo aplikovat kritické aktualizace v celé organizační struktuře. Active Directory ukládá své informace a nastavení v centrální organizované databázi.

Proxy server

Z Wikipedie, otevřené encyklopedie

(Přesměrováno z Proxy)

Skočit na: Navigace, Hledání

Proxy server je server počítačové sítě, který umožňuje klientům nepřímé připojení k jinému serveru. Proxy server funguje jako prostředník mezi klientem a cílovým serverem, překládá klientské požadavky a vůči cílovému serveru vystupuje jako klient. Přijatou odpověď následně odesílá zpět na klienta. Může se jednat jak o specializovaný hardware, tak o software.

Aplikační proxy server je server speciálně určený pro určitý protokol resp. aplikaci. Za pomocí něj lze analyzovat obsah komunikace, případně ji pozměňovat (např. odstraňování reklam z http požadavků, blokování webových stránek podle obsahu,…) nebo ukládat požadavky do vyrovnávací paměti (cache), a tak zefektivnit komunikaci.

Jak je vidět z následujích použití, proxy server se často používá pro oddělení intranetu od Internetu a přitom zároveň umožnění uživatelům intranetu používat služeb z Internetu.